Une vulnérabilité est une faiblesse ou un défaut d’un composant logiciel ou matériel exploité par des attaquants. Les vulnérabilités s’appliquent à STIX 2.x.

La faiblesse ou le défaut réside dans les exigences, les conceptions ou les implémentations du code trouvé dans un composant logiciel ou matériel. Cette faiblesse est directement exploitée pour avoir un impact négatif sur la confidentialité, l’intégrité ou la disponibilité de ce système.

CVE est une liste des vulnérabilités et des expositions en matière de sécurité de l’information qui fournit des noms communs pour les problèmes connus du public [CVE].

Par exemple, si un logiciel malveillant exploite CVE-2015-12345, un objet malveillant peut être lié à un objet de vulnérabilité faisant référence à CVE-2015-12345.